Op 7 juni plaatste iemand een reddit thread die later werd verwijderd door de moderator van het forum. De thread bevatte een serieuze claim: het Osmosis-netwerk had een bug waardoor liquiditeitsverschaffers 50% extra konden verdienen bij het toevoegen en intrekken van liquiditeit.
Osmose (OSMO) is een blockchain in het Cosmos-ecosysteem die een gedecentraliseerde uitwisseling en portemonnee biedt.
De claim leek onwaarschijnlijk totdat het netwerk werd stilgelegd voor noodonderhoud.
Hallo @osmosezone vrienden. Vanaf blok #4713064 is de osmoseketen stilgelegd voor noodonderhoud.
Op dit moment werken de Osmosis DEX en Wallet niet, totdat de reparaties zijn voltooid.
?Gelieve stand-by te staan terwijl ontwikkelaars eraan werken om ons weer aan de praat te krijgen.
— ??KeizerOsmo (Hathor-knooppunten)?? (@Flowslikeosmo) 8 June 2022
Hoewel het Osmosis-team destijds geen exploit erkende, kwam de stop tot stand nadat een paar aanvallers ongeveer $ 5 miljoen hadden leeggemaakt.
Liquiditeitspools waren NIET "volledig leeggelopen".
Ontwikkelaars repareren de bug, bepalen de omvang van de verliezen (waarschijnlijk in de orde van grootte van ~$5 miljoen) en werken aan herstel.
Meer informatie volgt. https://t.co/WOu7MMgSUM
- Osmose? (@osmosezone) 8 June 2022
Het Osmosis-team heeft de bug geïdentificeerd en een patch ontwikkeld die vóór implementatie wordt getest. Ontwikkelaars zijn nog bezig met het herstarten van het netwerk.
Update: de bug is geïdentificeerd en er is een patch geschreven.
Er zijn meer tests aan de gang voordat validators worden aanbevolen om een herstart te coördineren.
De komende dagen volgt een volledig bugrapport en actieplan voor grondiger en correcter testen van ketenupgrades van begin tot eind. https://t.co/DjJMOEQxrT
- Osmose? (@osmosezone) 8 June 2022
Dus dit is hoe de aanvallers het netwerk wisten te misbruiken, zoals blijkt uit on-chain-activiteit:
Een Twitter-gebruiker wees er in een thread op dat een van de aanvallers liquiditeit heeft toegevoegd in de vorm van USD Coin (USDC) en OSMO. De aanvaller ontving vervolgens GAMM LP-tokens in ruil, die hun aandeel in de pool vertegenwoordigden. Deze daders trokken de GAMM LP-tokens onmiddellijk terug, waardoor ze 50% extra verdienden dan het bedrag aan USDC en OSMO dat als liquiditeit was toegevoegd.
Ten eerste, blijkbaar heeft een subredditer dit een tijdje geleden genoemd - dus rekwisieten voor hen.
➼ Dus de portemonnee (osmo1hq) is de uitbuiter.
Eerst biedt hij Liquiditeit in de vorm van: $ USDC (Ik heb dit geverifieerd in de broncode) + $OSMO
Hij ontvangt dan $GAMM LP-tokens in ruil. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8 June 2022
De dader ruilde vervolgens de OSMO-tokens voor ATOM en stuurde ze naar andere portefeuilles. Ditzelfde proces werd keer op keer herhaald - elke keer kreeg de aanvaller 50% meer tokens.
Het grootste deel van de opbrengst in OSMO werd geruild voor ATOM en overgebracht naar een portemonnee die $ 9 miljoen aan ATOM-tokens bevat, aldus de Twitter-thread. Deze portemonnee bevatte echter niet de USDC-tokens die de aanvaller heeft verkregen door de bug te misbruiken - de USDC-tokens zijn niet verwisseld of overgedragen, voegde de thread eraan toe.
Als hij eenmaal zijn lol heeft gehad,
➼ Hij stuurt de $ ATOM naar een keten van andere portemonnees.
Het is moeilijk te zeggen op de https://t.co/o02L0T5QtQ scanner hoeveel het in totaal was, maar ik volgde de portefeuilles en... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8 June 2022
Osmose identificeert aanvallers; FireStake komt naar voren
Volgens een Twitter-thread van Osmosis zijn vier aanvallers geïdentificeerd als de belangrijkste daders die meer dan 95% van het uitgebuite bedrag hebben gestolen. Twee van de vier aanvallers hebben zich vrijwillig aangemeld om het volledige gestolen geld terug te geven. De andere twee hebben transacties van en naar gecentraliseerde beurzen, die zijn gewaarschuwd om de daders te identificeren en het geld terug te krijgen.
update:
– Er zijn 4 individuen geïdentificeerd die 95%+ van het gerealiseerde exploitbedrag vertegenwoordigen.
– 2 van de 4 personen heeft proactief de intentie uitgesproken om het uitgebuite bedrag volledig terug te geven.
- Osmose? (@osmosezone) 8 June 2022
Amper een uur na de Tweet van Osmosis over de aanvallers, kwam FireStake - een validator in het Cosmos-ecosysteem - naar voren in een Tweet en gaf toe de LP-bug te hebben misbruikt, maar merkte op dat ze proberen "dingen recht te zetten" en samenwerken met het Osmosis-team om het uitgebuite geld terug te geven.
Geachte @osmosezone gemeenschap, velen van jullie zijn op de hoogte van de Osmosis LP-bug die zich gisteren heeft voorgedaan.
In ongeloof dat het echt is, twee leden van @vuur_stake begon te testen om te zien of de bug bestond, testen groeide uit tot een tijdelijke afwijking in gezond verstand, en...
— Vuurstake | Validator (@stake_fire) 8 June 2022
tijdens het proces zijn we erin geslaagd om $ 226 USD om te zetten in ~ $ 2 miljoen. We dachten aan de toekomst van ons gezin, en niet aan de toekomst van onze gemeenschap.
Kort daarna hebben we de hele nacht beklemtoond hoe we dingen recht kunnen zetten. We werken momenteel samen met het Osmosis-team…
— Vuurstake | Validator (@stake_fire) 8 June 2022
om het geld zo snel mogelijk terug te storten. We werken ook samen met het Osmosis-team om iedereen die misbruik heeft gemaakt van deze situatie aan te moedigen om naar voren te komen en geld terug te geven.
U bent van harte welkom om naar ons toe te komen, en wij kunnen helpen als liaison. We moeten dit goedmaken.
— Vuurstake | Validator (@stake_fire) 8 June 2022
Bron: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/